よく考えたら記事に書いてなかったなぁと仕事中に思い出したので調べた。

<csrf> タグの属性とかで指定できるのかなぁと思ったら、 IntelliJ の補完で属性が3つしか表示されない。

しかたないので実装（CookieCsrfTokenRepository）を見に行ったら、↓のようになってた。

   @Override
    public void saveToken(CsrfToken token, HttpServletRequest request,
            HttpServletResponse response) {
        ...
        Cookie cookie = new Cookie(this.cookieName, tokenValue);
        cookie.setSecure(request.isSecure());
        ...
    }

HttpServletRequest#isSecure() の値をそのままセットしている。

isSecure() は ServletRequest に定義されているメソッドで、 Javadoc を見るとリクエストの通信が保護されているかどうかを返すらしい。

ServletRequest (Java(TM) EE 7 Specification APIs)

例は HTTPS 通信ということで、 HTTPS 通信だったら勝手に secure 属性が有効になるっぽい。

下手にオプションで切り替えるよりも、こっちのほうが設定漏れもなくて確実な気がした。グッドプラクティスっぽい。